目標鏈路:從 GitHub 到五地 Mac 上的 TaskFlow
push 或 workflow_dispatch 觸發 Actions,經簽章 Webhook 打到僅回環監聽的 OpenClaw Gateway,TaskFlow 再拉起建置與工件回傳。五地差異在 RTT 與出口,但排障順序固定:公網可達 → 權杖一致 → SSH 隧道與工作階段存活。若同時要顧審核與外包時區,可一併參考
五地純 SSH 與 VNC 混合選型指南。
GitHub Actions 入站與 Webhook 對齊
每環境獨立金鑰與輪換視窗;HTTP 步驟 URL 走隧道入口並帶簽章標頭,避免裸鏈被掃。五地並行宜按地區拆 Workflow,降低同一 Secret 複用面。
curl -v 直連隧道入口再往下看。
Gateway 認證與最小暴露面
Gateway 綁 127.0.0.1,經 SSH 轉發暴露;權杖依人/外包/CI 分桶並短 TTL。通路與 Gateway 穩定化細節見
OpenClaw 遠端 Mac 通路與自動化工作流,
並把 doctor 與健康探針納入門禁,避免假綠燈。
SSH 隧道分級排障(L2/L3)
L2:lsof 對埠號、ssh -v 看 Kex/憑證。L3:五地出口策略不同,美東宜對齊 GitHub/AWS 同區;斷線由 launchd 拉起並記退出碼,否則 Webhook 會靜默掉封包。初次裝機與擴容節奏可對照
OpenClaw 從零部署到穩定運行 2026。
TaskFlow、上架流水線與外包回傳
外包只拿最小工件包,稽核留內網卷;大檔回傳走同一隧道,避免第二條公網繞過稽核。DerivedData/Pods 分卷、系統盤留設定與金鑰;單獨權杖加單次上傳 URL,與 TaskFlow 對帳。
- 上架:快取與中繼 IPA 可清,簽章收據依合規週期保留。
- 外包:Webhook 本體與鑑權結果採同一保留政策。
- 稽核:JSON 與 dSYM 常遠大於原始碼,先畫月增量曲線再調保留天數。
稽核日誌與工件:誰吃磁碟
低配先以 1TB 扛快取熱層,合規與多版本並行再上 2TB 或 M4 Pro 旗艦節點。「稽核+工件」月增量若持續吃掉剩餘空間三成以上,先擴盤或外置歸檔,再升 Pro,否則 I/O 仍會拖死隧道與 Gateway。
低配/M4 Pro × 1TB/2TB 的留存成本對照
下表依單節點、中度上架加外包回傳估算餘量,便於對齊保留天數與月增量。
| 組態 | 典型留存策略 | 磁碟壓力與建議 | 適用情境 |
|---|---|---|---|
| 低配 M4+1TB | 稽核 14 天、工件 7 天、快取熱層 | 餘量中等;需積極清理與外連歸檔 | 小團隊、單地區 CI |
| 低配 M4+2TB | 稽核 30 天、雙版本工件並行 | 可扛旺季;仍建議符號表外遷冷存 | 上架密集+外包並行 |
| M4 Pro+2TB | 長稽核窗+多 Workflow 快取 | CPU/IO 雙裕量,適合五地之一做旗艦 | 多儲存庫、多通道 Webhook |
常見問題
在 Mac mini 上跑通這條鏈更省心
Webhook、Gateway 與 SSH 在 macOS 上靠 OpenSSH、launchd 即可低開銷常駐;M4/M4 Pro 統一記憶體與高 IO 減輕稽核與工件寫盤壓力,待機僅約數瓦適合 7×24 入站。Gatekeeper、SIP、FileVault 疊加,暴露面也小於常見 Windows 跳板機。
若要把五地策略、擴盤與總帳一次對齊,用靜音穩定、原生 Unix 的 Mac mini M4 跑同一套鏈最省事。現在就把遠端 Mac 從「能連」升級到「可稽核、可算帳」——點選文末卡片或浮窗前往 kvmmac 首頁,了解 Mac mini M4 雲端主機方案。
入站分環境金鑰;認證回環加短 TTL;隧道L1–L3;成本用 1TB/2TB 與機型綁保留策略。下一步:跑一輪完整上架畫磁碟曲線再調參。